DSGVO

Ab Mai 2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO), eine Verordnung der EU zum Schutz personenbezogener Daten. Die EU-Datenschutz-Grundverordnung beinhaltet neue Regeln für Unternehmen, Behörden, gemeinnützige und andere Organisationen, die Waren und Dienstleistungen für Menschen in der EU anbieten oder Daten im Zusammenhang mit EU-Bürgern erfassen und analysieren. Die EU-Datenschutz-Grundverordnung gilt unabhängig von Ihrem Standort.

Die DSGVO erlegt Unternehmen, die personenbezogene Daten erfassen oder verarbeiten, verschiedene Anforderungen auf. Sie müssen u. a. sechs zentrale Grundsätze einhalten:

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben sowie Transparenz bei der Verarbeitung und Verwendung personenbezogener Daten. Sie müssen den betroffenen Personen klar mitteilen, wie Sie ihre personenbezogenen Daten nutzen, und benötigen eine rechtmäßige Basis, um diese Daten zu verarbeiten.


• Die Verarbeitung personenbezogener Daten ist auf festgelegte, eindeutige und legitime Zwecke beschränkt. Sie dürfen personenbezogene Daten nicht in einer Weise weiterverarbeiten oder offenlegen, die mit den Zwecken, zu denen die Daten ursprünglich erfasst wurden, nicht vereinbart werden kann.


• Die Erfassung und Speicherung personenbezogener Daten wird auf das Maß beschränkt, das dem Zweck angemessen und dafür notwendig ist („Datenminimierung“).


• Die Richtigkeit personenbezogener Daten ist sicherzustellen, und es muss möglich sein, diese zu löschen oder zu berichtigen. Sie müssen die erforderlichen Maßnahmen ergreifen, damit die von Ihnen gespeicherten personenbezogenen Daten korrekt sind und im Falle von Fehlern berichtigt werden können.


• Speicherbegrenzung in Bezug auf personenbezogene Daten. Unternehmen müssen sicherstellen, dass sie personenbezogene Daten so lange aufbewahren, wie es für die Zwecke, für die sie erfasst wurden, erforderlich ist.


• Sicherstellen der Sicherheit, Integrität und Vertraulichkeit personenbezogener Daten. Unternehmen müssen geeignete technischen und organisatorischen Sicherheitsmaßnahmen ergreifen, damit personenbezogene Daten geschützt sind.

Unternehmen können Strafen von bis zu 20 Millionen Euro oder 4 % des jährlichen weltweiten Umsatzes erhalten, je nachdem, was höher ist, wenn sie bestimmte Anforderungen der DSGVO nicht einhalten. Zusätzliche individuelle Maßnahmen können Ihr Risiko erhöhen, wenn Sie Anforderungen der DSGVO nicht einhalten.

Die DSGVO regelt das Erfassen, Speichern, Verwenden und Weitergeben „personenbezogener Daten“. Personenbezogene Daten sind im Rahmen der DSGVO als Daten definiert, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Personenbezogene Daten umfassen u. a. Online-Kennungen (z. B. IP-Adressen), Mitarbeiterdaten, Vertriebsdatenbanken, Kundenservicedaten, Kundenfeedbackformulare, Standortdaten, biometrische Daten, Überwachungsvideos, Kundentreuedaten oder Gesundheits- und Finanzinformationen. Sie können auch Informationen umfassen, die nicht personenbezogen scheinen (wie etwa ein Foto einer Landschaft, auf dem keine Personen abgebildet sind), wenn diese Informationen mithilfe einer Kundennummer oder einem eindeutigen Code mit einer identifizierbaren Person verknüpft sind. Auch pseudonymisierte Daten gelten als personenbezogene Daten, wenn das Pseudonym mit einer bestimmten Person in Verbindung gebracht werden kann.

Beachten Sie, dass für die Verarbeitung einiger „besonderer“ Kategorien personenbezogener Daten (wie etwa personenbezogener Daten, aus denen die ethnische Herkunft einer Person hervorgeht oder die sich auf deren Gesundheitszustand oder sexuelle Orientierung beziehen) strengere Regeln gelten als für die Verarbeitung „gewöhnlicher“ personenbezogener Daten.
Diese Auswertung personenbezogener Daten ist sehr faktenspezifisch, weshalb wir Ihnen empfehlen, zur Evaluierung Ihrer spezifischen Umstände einen Experten zu Rate zu ziehen.

Die Einhaltung der DSGVO kostet die meisten Unternehmen Zeit und Geld, die Umstellung läuft jedoch reibungsloser für Unternehmen ab, die eine gut strukturiert IT Infrastruktur haben und klarer Prozesse und Verantwortlichkeiten hinsichtlich der Datenkontrolle haben. Acticon kann Sie auf dem Weg zur DSGVO-Compliance beratend (DSGVO Audit) als auch bei der Implementierung und Umsetzung entsprechender Maßnahmen unterstützen.

Am besten, Sie beginnen Ihren Weg in Richtung DSGVO-Compliance, indem Sie sich auf vier zentrale Schritte konzentrieren: Ermitteln, verwalten, schützen und berichten

Finden Sie heraus, welche personenbezogenen Daten in Ihrem Unternehmen vorhanden sind und wo sie gespeichert sind.
Der erste Schritt hin zur Compliance mit der DSGVO besteht in einer Bewertung, ob die DSGVO für Ihr Unternehmen gültig ist, und falls ja, in welchem Ausmaß. Diese Analyse beginnt damit, dass Sie verstehen, welche Daten vorhanden sind und wo sie sich befinden. In der DSGVO werden die Erfassung, Speicherung, Nutzung und Weitergabe sogenannter personenbezogener Daten geregelt. Diese werden in der DSGVO sehr weitreichend als alle Daten definiert, die in Zusammenhang mit einer identifizierten oder identifizierbaren natürlichen Person stehen.

Legen Sie fest, wie personenbezogene Daten genutzt werden und wie darauf zugegriffen wird.
Die DSGVO gewährt betroffenen Personen (sog. Datensubjekten, also Einzelpersonen, auf die sich Daten beziehen) mehr Kontrolle darüber, wie ihre personenbezogenen Daten erfasst und verwendet werden. Bei der effektiven Verwaltung Ihrer Daten geht es erstens um Data Governance und zweitens um Datenklassifizierung.

Data Governance. Um Ihre Pflichten gegenüber betroffenen Personen zu erfüllen, müssen Sie verstehen, welche Arten personenbezogener Daten in Ihrem Unternehmen verarbeitet werden. Zudem sollten Sie im Bilde darüber sein, wie und zu welchem Zweck solche Daten verarbeitet werden. Das zuvor erwähnte Dateninventar ist ein erster Schritt hin zu einem derartigen Verständnis. Nach Fertigstellung des Inventars ist es auch wichtig, einen Data-Governance-Plan zu entwickeln und umzusetzen. Dieser kann Sie dabei unterstützen, Richtlinien, Rollen und Verantwortungsbereiche für den Zugriff auf, die Verwaltung und die Nutzung personenbezogener Daten festzulegen. Er hilft Ihnen auch dabei, sicherzugehen, dass die Art und Weise des Umgangs mit Daten konform mit der DSGVO ist.

Datenklassifizierung ist ein wichtiger Teil jedes Data-Governance-Plans. Die Übernahme eines Schemas zur Klassifizierung, das für das gesamte Unternehmen gilt, ist besonders hilfreich bei der Reaktion auf Anfragen von betroffenen Personen, denn so können Sie derartige Anfragen schneller identifizieren und bearbeiten.

Richten Sie Sicherheitskontrollen ein, um Schwachstellen und Datenschutzverletzungen zu verhindern, zu erkennen und darauf zu reagieren.
In Unternehmen herrscht ein immer stärkeres Bewusstsein darüber, wie wichtig Informationssicherheit ist. Mit der DSGVO wird die Messlatte erneut höhergelegt. Sie verlangt von Unternehmen, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten vor Verlust sowie nicht autorisiertem Zugriff oder unberechtigter Offenlegung zu ergreifen.

Bewahren Sie Dokumentationen auf, und verwalten Sie Datenanfragen und Benachrichtigungen zu Datenschutzverletzungen.
Die DSGVO setzt neue Standards für Transparenz, Verantwortung und die Aufbewahrung von Daten. Ihr Unternehmen muss ein hohes Maß an Transparenz bieten – nicht nur in Bezug auf den Umgang mit personenbezogenen Daten, sondern auch bei der Pflege von Dokumentationen, die Ihre Prozesse und Ihren Umgang mit personenbezogenen Daten definieren.